数据保护,你们准备好了吗?
欢迎点击上方 中伦视界 关注我们
前言
最近Facebook(脸书)这个大陆人民熟悉而又陌生的公司刷爆了各大头条和社交媒体。到底发生了什么让大家对地球另一端的美国如此热议,还不明真相的小伙伴不要着急,请先听笔者说一说这件事的来龙去脉。
几天前,美国《纽约时报》和英国《卫报》等媒体纷纷爆料,一家名叫剑桥分析(Cambridge Analytica)的数据分析公司从Facebook获取了5000万用户的资料,并以此为基础,结合从其他渠道获得的用户选民登记、地产登记、消费等资料,通过大数据分析构造用户心理画像模型,包括个性、心理特征和弱点等,进而以此为基础向每个用户推送个性化信息,试图影响其政治倾向和投票行为。
也许你不知道剑桥分析是何方神圣,但肯定听说过传言它曾参与的两件大事,其一是英国脱欧公投(它现在否认参与),其二就是川普赢得美国总统大选。剑桥分析获得上述5000万用户信息的方式也颇为传奇,先是由一位剑桥大学教授以学术研究为名,在Facebook上运行程序邀请用户进行心理测试,并获用户授权抓取其个人信息;但该程序不仅抓取了这些用户的信息,还抓取了这些用户好友的信息,该教授又私自将获取的数据给了剑桥分析。5000万用户是极其惊人的数量,相当于近四分之一的美国选民;如果真能左右这些选民的行为,无疑会对美国政局产生重大影响。
事件影响分析
事件曝光后,Facebook的股价暴跌10%,陷入了重大危机。3月21日,Facebook的CEO Zuckerberg终于发声“承认错误”,称Facebook没能保护好用户的数据,表示将采取进一步措施。
其实,Facebook等互联网巨头一直就在通过数据分析算法不断优化向用户展示的信息,从而影响用户的浏览和购买行为。向第三方软件开放也是Facebook战略的一部分,因为这样可以丰富平台上的内容,增加用户的活跃度和停留时间。通过数据分析,谷歌、Facebook的广告投放得以越来越有效,亚马逊、Netflix也得以不断增加收入。多年来这种努力一直被誉为技术进步,这些公司也因此受到资本市场的追捧。但从利用用户信息来影响其消费行为到试图影响其政治倾向,可能仅为一步之遥。
大数据分析的强大之处在于它往往能发现潜在的关联关系。比如,它可能通过某个用户在Facebook上所“喜欢”(like)的内容(如某个新闻、视频、电视节目或乐队),猜测其政治倾向。
现代心理学研究还发现,人们的很多行为是基于情绪而不是理性思考;[1]而人的情绪则可能被难以察觉的手段影响,从而影响其行为。比如有实验显示,如果问消费者愿意在餐厅里花多少钱,餐厅名字叫Studio 97就比叫Studio 17会让消费者表示愿意消费更多。[2]还有实验显示,卖葡萄酒的店家如果播放德国歌,会增加德国葡萄酒的销量,如果播放法国歌,则会增加法国酒的销量,而消费者却完全没意识到他们的行为受到了影响。[3]在各种情绪中,恐惧和愤怒等负面情绪更容易激发人类在进化中形成的本能反应,直接驱动行为,[4]所以在社交媒体上基于此类情绪的信息也往往最容易被分享传播。在英国脱欧公投和2016年美国大选中,选民的负面情绪都起了很大作用,从这个角度来看就很容易理解。
我国个人信息安全与数据保护
Facebook数据泄露事件虽远在大洋彼岸,其实却影响着互联网时代我们每个人的切身利益。这其中的关键词就是“个人信息保护”。虽然我们没有Facebook,但是我们有微博、微信等社交软件,有支付宝、淘宝、饿了么、滴滴、美团等生活APP。各大互联网企业每天都在吸食着海量的个人信息,但这些企业是如何保护用户信息的呢?收集的信息有没有超越法定范围?收集和处理用户信息经过用户授权了吗?相信没有一家互联网企业愿意成为下一个泄露门的主角,那应该如何将危机防范于未然呢?
近年来,我国已在用户信息保护方面推出了一系列的法律法规,包括全国人大常委会2012年通过的《关于加强网络信息保护的决定》,工信部2013年发布的《电信和互联网用户个人信息保护规定》,以及2017年6月实施的《网络安全法》。今年5月1日将实施的《信息安全技术 个人信息安全规范》则进一步在个人信息收集、保存、使用、委托处理、共享、转让、公开披露、个人信息安全事件处置等方面提出了多条具体措施,并提供了用户明示同意和隐私政策的模板。虽然该规范仅为推荐性国家标准,不具有强制力,但仍值得相关企业认真参考和借鉴。
作为企业,在个人信息保护方面首先需要了解的是何为“个人信息”?《个人信息安全规范》规定,个人信息不仅包含姓名、出生日期、生物识别信息、征信信息等身份信息,也包含行踪轨迹、住宿信息、健康生理信息、交易信息等反映活动情况的个人信息。《个人信息安全规范》还进一步提出了“个人敏感信息”的概念,并对其收集、传输、储存、使用、共享、转让、公开披露等方面作了特别的要求。对于企业来说,用户在软件和平台上的各种操作几乎都可能构成“个人信息”,部分信息还会构成“个人敏感信息”,均受到法律保护,企业在获取和使用这些信息时需遵守法律规定。
现行法律法规对于用户信息的保护制定了四大原则:
经同意:收集用户信息应当向用户明示并取得用户同意;
必要性:收集、使用用户个人信息,应当遵循合法、正当、必要的原则,不得收集与其服务无关的个人信息;
披露:应当公开收集、使用规则,并明示收集、使用信息的目的、方式和范围;
安全措施:应当采取必要措施,确保信息安全,防止信息泄露、丢失。
尽管如此,我国的一些互联网企业对用户信息保护仍然显得关注不够,之前沸沸扬扬的支付宝年度账单事件就是一个例子。试想如果有个平台在不停地记录着你每天吃了什么、去了哪里、看了什么电影、买了什么东西等信息,还能够根据这些信息分析出你的喜好、习惯和弱点,并以此为基础精准地向你推送广告以影响你的决定,会不会让你有种衣不蔽体暴露在这个大数据时代、背后一凉的感觉呢?
对于这种状况,我国相关部门也开始采取措施加强监管,并对存在不合规情况的机构进行约谈,要求整改。比如,2018年1月,今日头条、支付宝和百度均因用户个人信息收集使用规则、使用目的告知不充分的情况被工信部约谈。但同时我们也看到,近期已有一些互联网企业主动开始在个人信息保护方面采取进一步的合规化举措。
对于许多互联网企业,对用户信息的采集和处理是其商业模式的核心。互联网企业如何在商业利益和保护用户信息之间找到一个合理的平衡点,将会成为持续的挑战。企业决策层及其产品和运营团队应对此保持关注和敏感,而不只是把它当作合规团队和律师的任务。“得数据者得天下”,但如何用好数据这把利剑又不伤及用户和企业自身。戴着法律这把镣铐跳舞,是必须。
等等!还没完!往下看有福利!
福利就是:截至发稿日,笔者认为对企业最有用的个人信息保护相关法律法规都在这儿了!不用谢!
法规名称
颁布部门
实施时间
《民法总则》
全国人民代表大会
2017.10.01
《中华人民共和国消费者权益保护法(2013修正)》
全国人大常委会
2014.03.15
《全国人大常委会关于加强网络信息保护的决定》
全国人大常委会
2012.12.28
《网络安全法》
全国人大常委会
2017.06.01
《电信和互联网用户个人信息保护规定》
工业和信息化部
2013.09.01
《网络交易管理办法》
国家工商行政管理总局
2014.03.15
《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》
最高人民
法院、
最高人民
检察院
2017.06.01
《最高人民检察院发布6起侵犯公民个人信息犯罪典型案例》
最高人民
检察院
2017.05.16
《最高人民法院、最高人民检察院发布7起侵犯公民个人信息犯罪典型案例》
最高人民
法院、
最高人民检察院
2017.05.10
《信息安全等级保护管理办法》
公安部、
国家保密局、
国家密码管理局、
国务院信息工作办公室
2007.06.22
《信息安全技术 个人信息安全规范》
国家质量监督检验检疫总局、
国家标准化管理委员会
2018.05.01
注:
[1] 见Daniel Kahneman, Thinking, Fast and Slow, 2011. Daniel Kahneman和Richard Thaler也因对此领域的贡献于2002年和2017年分别获得了诺贝尔经济学奖
[2] 见Robert Cialdini, Pre-Suation: A Revolutionary Way to Influence and Persuade, 2016
[3] 见Robert Cialdini, Pre-Suation: A Revolutionary Way to Influence and Persuade, 2016
[4] 见Daniel Kahneman, Thinking, Fast and Slow, 2011
THE END
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等试听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
作者简介:
合伙人 上海办公室
业务领域:私募股权与投资基金,资本市场/证券,一带一路与海外投资
长按识别图中二维码,可查阅该合伙人简历详情。
点击“阅读原文”,可查阅该专业文章官网版。